El Tribunal de Justicia de la Unión Europea (UE) invalidó hoy la decisión de la Comisión Europea (CE) que consideraba que Estados Unidos garantiza un nivel de protección adecuado de los datos personales y permitía la transferencia de información perteneciente a ciudadanos europeos.
La máxima instancia judicial comunitaria respondió así a la larga batalla legal contra Facebook que inició en 2011 un estudiante austríaco de Derecho, Max Schrems, en una sentencia que sienta precedente y puede acabar afectando a las firmas tecnológicas estadounidenses con presencia en Europa, como la propia Facebook, Apple, Google y Microsoft.
Según la legislación comunitaria, sólo se pueden transferir datos personales a un país tercero si éste garantiza un nivel de protección adecuado.
La CE puede declarar, por su parte, que un país tercero garantiza un nivel de protección adecuado en razón de su legislación interna o de sus compromisos internacionales.
En paralelo, cada Estado miembro debe designar una o varias autoridades públicas encargadas de controlar la aplicación en su territorio de las normas de la UE en la materia.
Schrems, usuario de Facebook desde 2008, presentó una denuncia ante la autoridad irlandesa de control dos años más tarde al considerar que la normativa y la práctica de EE. UU. no garantizaban una protección suficiente de los datos transferidos a ese país frente a las actividades de vigilancia por las autoridades públicas.
Este estudiante austríaco decidió dar este paso tras las revelaciones realizadas en 2013 por el exagente de la CIA Edward Snowden en relación con las actividades de los servicios de información estadounidenses, en particular, de la Agencia Nacional de Seguridad.
Como ocurre con los demás usuarios que residen en la UE, los datos proporcionados por Schrems a Facebook se transfieren total o parcialmente de la filial irlandesa de dicha red social a servidores situados en territorio de los EE. UU., donde son objeto de tratamiento.
La autoridad irlandesa desestimó la reclamación en parte porque la CE ya había considerado en su decisión que Estados Unidos era un “puerto seguro” y garantiza un nivel adecuado de protección de los datos personales transferidos.
Sin embargo, el Tribunal Supremo irlandés decidió preguntar al Tribunal de Justicia de Luxemburgo si esa decisión de la CE impide a una autoridad nacional de control investigar una denuncia en la que se alega que un país tercero no garantiza un nivel de protección adecuado y, en su caso, suspender la transferencia de datos denunciada.
La Corte de Luxemburgo estimó hoy que esa decisión de la CE no puede dejar sin efecto ni limitar las facultades de las que disponen las autoridades nacionales de control.
Recalcó que ninguna disposición de la directiva europea en la materia impide que las autoridades nacionales controlen las transferencias de datos personales a terceros países que hayan sido objeto de una decisión de la Comisión.
En cuanto a la validez de la decisión de la CE sobre EE. UU., el Tribunal considera que la Comisión no llevó a cabo el examen oportuno para determinar que este país garantiza efectivamente, en razón de su legislación interna o de sus compromisos internacionales, un nivel de protección de los derechos fundamentales sustancialmente equivalente al garantizado en la Unión.